DNS TSIG配置
条件:首先应该主辅服务器已经做成功
主服务器: redhat5.4 ip 192.168.1.106
辅服务器: redhat5.4 ip 192.168.1.107
测试机: windows2003 ip 192.168.1.115
1.主服务器配置
1>为TSIG创建密钥.
[root@localhost chroot]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST rndc-key
Krndc-key.+157+36636
2> 查看生成的文件
[root@localhost chroot]# ll
总计 20
drwxr-x--- 2 root named 4096 10-26 21:54 dev
drwxr-x--- 2 root named 4096 10-26 21:59 etc
-rw------- 1 root root 52 10-26 22:00 Krndc-key.+157+36636.key
-rw------- 1 root root 81 10-26 22:00 Krndc-key.+157+36636.private
drwxr-x--- 6 root named 4096 10-26 21:54 var
3>得到密钥字符串,最后面的为密钥字符串
[root@localhost chroot]# cat Krndc-key.+157+36636.key
rndc-key. IN KEY 512 3 157 FLJPk9BWG82BDp5nhfaTqQ==
全局配置named.conf增加的配置代码
key code {
algorithm hmac-md5;
secret FLJPk9BWG82BDp5nhfaTqQ==;
};
server 192.168.1.107 { //辅服务器IP
keys { code; };
};
4> 主配置文件:named.rfc1912.zones 增加如下内容
zone "abc.com" IN {
type master;
file "abc.com.zone";
allow-update { none; };
allow-transfer { key code; };
};
5> 区域配置文件:abc.com.zone
$TTL 86400
@ IN SOA ns.abc.com. root (
42 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
@ IN NS ns.abc.com.
ns IN A 192.168.1.106
www IN A 10.10.10.10
ftp IN A 11.11.11.11
6>启动named服务器
[root@localhost etc]# service named start
启动 named: [确定]
2. 辅服务器配置
1>全局设置:named.conf
key code {
algorithm hmac-md5;
secret FLJPk9BWG82BDp5nhfaTqQ==;
};
server 192.168.1.106 { //主服务器IP
keys { code; };
};
2> 主配置文件:named.rfc1912.zones
zone "abc.com" IN {
type slave;
masters { 192.168.1.106; };
file "slaves/abc.com.zone";
allow-update { none; };
};
3> 启动DNS辅服务器
[root@localhost etc]# service named start
启动 named: [确定]
3. 客户机测试
4.由于我们做的实验是TSIG,让辅服务器不能接受不具有主DNS的TSIG的密钥的DNS服务器,由于设备的原因,我们再把主DNS服务器的TSIG密钥更换一下,当作一个非法的DNS服务器
主服务器配置
1> 我们再次生成一个TSIG
[root@localhost chroot]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST rndc-key
Krndc-key.+157+62825
生成这两个文件
-rw------- 1 root root 52 10-26 23:02 Krndc-key.+157+62825.key
-rw------- 1 root root 81 10-26 23:02 Krndc-key.+157+62825.private
查看密钥段
[root@localhost chroot]# cat Krndc-key.+157+62825.key
rndc-key. IN KEY 512 3 157 um0ecoZjRwTnJCtk8hVE5g==
将这个密钥段放在全局配置文件中:named.conf (已经更换成了非法的密钥段)
key code {
algorithm hmac-md5;
secret um0ecoZjRwTnJCtk8hVE5g==;
};
server 192.168.1.100 {
keys { code; };
};
重启服务器
在辅服务器上配置
删除辅DNS服务器中/var/named/chroot/var/named/slavers/abc.com.zone这个文件
[root@localhost etc]#rm -f /var/named/chroot/var/named/slaves/abc.com.zone
重启辅服务器
[root@localhost etc]# service named restart
停止 named: [确定]
启动 named: [确定]
查看slaves下面,发现没有生成文件abc.com.zone
[root@localhost etc]# ll /var/named/chroot/var/named/slaves/
总计 0
4. 测试到此结束,如果辅服务器发现自己所连接的IP的TSIG与自己的TSIG密钥段不同,复制区域文件失败.确保辅服务器从主服务器所得的内容不被篡改.
本文转自 guodong810 51CTO博客,原文链接:http://blog.51cto.com/guodong810/1038860,如需转载请自行联系原作者
